diegocheca
Utilidades de Wazuh

Utilidades de Wazuh

Diego Checarelli's photo
Diego Checarelli
·

3 min read

Introduccion

en este se detallan algunas funciones o mecanismos ultiles para manejar Wazuh en el día a día

Comandos utilizados

Es recomendable iniciar los servicios de en el siguiente orden

systemctl start elasticsearch

systemctl start filebeat

systemctl start kibana

systemctl start wazuh-manager

systemctl start wazuh-api

Se pueden reemplazar "start" por status (para comprobar el estado del servicio), restart (para reiniciar el servicio) o stop (para detener el servicio).

Estado de Servicios

Se espera que el resultado del comando:

service --status-all

sea algo parecido al siguiente:

wazuh-utiles5.jpg Para un servidor que funciona correctamente. Siempre con una infraestructura de un solo servidor, es decir, con todos los servicios corriendo de manera simultanea en el mismo servidor. En caso de querer obtener un resultado filtrado, se utiliza:

service --status-all | grep +

Reiniciar servicios

Reiniciar servicios desde consola

systemctl restart elasticsearch systemctl restart filebeat systemctl restart kibana systemctl restart wazuh-manager systemctl restart wazuh-api

Reiniciar servicios desde interfaz web

Primero se debe dirigir al icono de Wazuh que se encuentra en la lista de menu izquierda q1ue tiene Kibana. Luego se debe acceder a la solapa de "Management". Como se ve en la siguiente Ilustración wazuh-util2.png Ilustración 1.

wazuh-util3.png

Luego se debe dirigir a la opcion de "Status" , como se parecia en la siguietne imagen:

wazuh-util4.png

Luego se solicitará una cofniramción para reiniciar el servicio

wazuh-util6.png

Puertos expuestos

por defecto se necesitan estos puertos:

  • 1514 -> Wazuh UDP
  • 1515 -> Wazuh TCP
  • 514 --> Wazuh UDP
  • 55000 --> Wazuh API
  • 9200 --> Elasticsearch HTTP
  • 80 --> Nginx http
  • 443 --> Nginx https

Cliente Desconectado

Reiniciar agente

Por lo general, esto implica un conflicto en el agente, es poco probable que sea un problema del mismo servidor, dado que los otros agentes se encuentran funcionando. La primer acción a tomar, es reiniciar el servicio del mismo cliente. En caso de ser un agente Windows, se debe abrir el ejecutor de comandos de Windows, con las teclas Wind + R. Luego escribir en la entrada "services.msc"

wazuh-utiles4.jpg

Esto abrirá la ventana donde se pueden administrar los servicios que actualmente posee Windows. Ahora se debe buscar el servicio de Wazuh (uno de los ultimos, ordenados alfabeticamente).

wazuh-utiles1.jpg Luego se debe hacer click derecho sobre ese servicio, y luego hacer click en reiniciar.

wazuh-utiles2.jpg

Esto provocará que el servicio vuelva a iniciar. Esto puede tener dos resultados. El primer escenarios, sería que el servicio inicie correctamente y conecte con el servidor, lo que nos permitirá tomar los datos de ese cliente, esto se puede verificar desde la interfaz web, obteniendo:

wazuh-utiles3.jpg En caso de no ser así, podemos dirigirnos al "event viewer" del sistema operativo del agente con problemas, donde encontraremos más información respecto al problema y entender como se puede seguir intentando solucionarlo.

Security#cybersecurity